Check Point Research
Check Point Research, подразделение Check Point Software Technologies, опубликовала отчет Global Threat Index о самых активных угрозах в декабре 2020 г.
Самое активное вредоносное ПО в декабре 2020 в мире:
В декабре на первое место в списке вредоносных программ вернулся троян Emotet. Он атаковал 7% организаций во всем мире, а всего во время праздников спам-кампания была нацелена на более чем 100 000 пользователей в день. В тройке также и Formbook —— оба затронули по 4% организаций по всему миру.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- FormBook был впервые обнаружен в 2016 г., это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.
В сентябре и октябре 2020 г. Emotet стабильно возглавлял рейтинг Global Threat Index и был связан с волной атак программ-вымогателей. В ноябре он опустился на 5-е место в рейтинге. Сейчас, по данным экспертов, Emotet был обновлен новым вредоносным содержимым и улучшенными средствами уклонения от обнаружения. Его последняя версия создает диалоговое окно, которое помогает избежать обнаружения пользователями. В новой вредоносной кампании злоумышленники используют различные методы распространения Emotet: встроенные ссылки, вложения документов или защищенные паролем Zip-файлы.
Emotet впервые обнаружили в 2014 г., и с тех пор он регулярно обновляется разработчиками. Это поддерживает его эффективность. В Министерстве национальной безопасности США подсчитали, что устранение каждого инцидента с Emotet обходится организациям более чем в 1 млн долл.
Изначально Emotet разрабатывался как банковское вредоносное ПО, которое проникало на компьютеры пользователей для кражи информации. Однако со временем Emotet эволюционировал и теперь рассматривается как одна из самых дорогостоящих и разрушительных вредоносных программ. Необходимо, чтобы организации знали об угрозе, которую представляет Emotet, и имели надежные системы безопасности для предотвращения утечки данных. Важно также проводить обучение сотрудников, чтобы они могли определять вредоносные письма, через которые распространяется Emotet.
Самое активное вредоносное ПО в декабре 2020 в России:
В декабре в России самым распространенным вредоносным ПО снова стал Fareit — всего он атаковал 15% организаций. Далее следуют FormBook и XMRig с охватом 8,5 и 8% соответственно.
- Fareit — троян, обнаруженный в 2012 г. Его разновидности похищают пароли пользователей, FTP аккаунты, список телефонных номеров и другие идентификационные данные, которые хранят веб-браузеры. Также он способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
- FormBook был впервые обнаружен в 2016 г., это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Используется для майнинга криптовалюты Monero.
Самые распространенные уязвимости в декабре 2020:
В декабре уязвимость «Удаленное выполнение кода MVPower DVR» стала наиболее распространенной, затронув 42% организаций во всем мире. За ней следуют «Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756)» (42% организаций во всем мире) и «Раскрытие информации в хранилище Git на веб-сервере» (41%).
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
- Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.
Самые активные мобильные угрозы в декабре 2020:
В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и Triada.
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
- xHelper — вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- Triada — модульный бэкдор для Android, предоставляющий права суперпользователя для загруженного вредоносного ПО.